amazonのフィッシング詐欺

2022年4月23日

偽amazonからのフィッシング詐欺のメール

先日、amamzonから、危うく引っかかりそうになるメールがきました。これは怖いということで、この場で共有させていただきつつ、防ぎ方を再度お話しようかと思います。

ことの発端はやっぱりメール

一見すると、本当にamazonから来たように見えるメールがきました。ただ、googleが提供するgmailの迷惑メールフィルターは本当によくできていて、最初から迷惑メールとして振り分けられていました。
ただ、gmailを使っていなかったらと思うと、ヒヤッとします。

メールのfrom

メールのfromは[admin@amazon.co.jp]です。このようなアドレスが、amazon上に実在するかどうかはわかりませんが、ぱっと見は[@amazon.co.jp]から来ているように見えてしまいます。もうこれが怖いです。

メールの本文

本文には、

「誰かがあなたのAmazonアカウントで他のデバイスから購入しようとしました。Amazonの保護におけるセキュリティと整合性の問題により、セキュリティ上の理由からアカウントがロックされます。
◆お客様のアカウントは盗離のリスクがあります。この注文を購入したことがない場合。できるだけ早く請求情報を確認してください。システムはこの注文を自動的にキャンセルします。

詐欺メールから引用(文字色含め、原文ママ)

とあります。そして、「この住所のこの名前の人が、この金額で買い物をしています」という詳細が書かれていました。この住所と名前は、万が一にも実在しているとよろしくないので、一応伏せておきます。google mapで見たところ、住所は特定できませんでしたが、町名と○丁目までは実在していました。

要するに、どこかの誰かが、あなたのamazonアカウントにアクセスできていて、そのあなたのアカウントで買い物をしていますよ。そしてその送り先は実在しているかもしれない住所ですよ。なので、確認してくださいね。

というのが趣旨です。

もちろん詐欺なのですが

ここで、gmailを使っている場合は、メールの段階で詐欺っぽいな、となります。これは、本来のメールのfromと、ぱっと見のメールのfromが一致していないためで、

gmailで出るメールの警告表示

このように、「本当にamazonからのメールかどうか確認できていないので、注意してください」という旨の警告がでます。これだけである程度気づけますし、警戒ができます。

では、gmailを使っていなかったらどうなるでしょうか。答えは簡単です。気づけない可能性の方が高いでしょう。そして、メールの中のリンクをクリックしてしまい、ログインを促され、ログイン情報が流出することになります。そして、当然のようにamazonの場合は、個人情報も丸見えになりますので、合わせて流入してしまいます。

防ぎ方

まずは、この手のメールの場合は、「まず疑うこと」から始めましょう。これ、本当に大事です。

そして、実際にアクセスする場合、今回のメールで言えばamazonにアクセスする場合は、googleなどで検索して、その検索結果からamazonにアクセスしましょう。間違っても、メールの中のリンクはクリックしないでください。
amazonにアクセスした後、注文履歴を確認しましょう。ここにメールの内容にあるような注文履歴がなければ、このメールは詐欺だと言い切れます。

でも、本当にメールの注文履歴があった場合は、急ぎamazonのヘルプデスクに連絡を入れてください。そして、amazonの指示を仰ぎましょう。
この場合は、他にもamazonに登録しているクレジットカードの停止、amazonのパスワードの変更を行いましょう。

パスワードの変更についてはフィッシング詐欺への対策でも書いたのですが、パスワード生成サイトを使って複雑で文字数の多いパスワードを使うことを、強くお勧めします。また、google認証アプリを使用して、2要素認証を行うことで、他者からの不正アクセスはかなりの確率で防ぐことができます。

自分はだまされない、という思い込みはダメ

詐欺に引っかかってしまった人に限って、「自分だけは引っかからない自信があった」みたいなことを言いますが、その自信がよろしくないのではないでしょうか。
このような、「どことなく詐欺っぽいメール」は、なんか同じようなニオイがするのです。これを嗅ぎ分けた上で、

  • アクセスは検索結果から
  • 電話も検索してから
  • メールの中のリンクはクリックしない

と、とにかく疑うクセをつけましょう。

さらに、ログイン情報は、google chromeに丸投げしてしまいましょう。
フィッシング詐欺への対策でも書きましたが、覚えられるパスワードはその時点で相当に脆弱です。複雑で規則性のない、最低でも32文字の意味のない文字と記号の羅列がお勧めです。そのためのサイトも紹介しました。
また、chromeのログイン情報の自動入力機能は、詐欺に引っかからないためにも有効です。ただ、googleへのログイン情報は厳格な管理が必要になります。

ともかく注意と対策

詐欺っぽいメール(というか詐欺なんですが)は、減ることはありません。そして、日々新しい手段を考えていて、私たちから情報を盗み取ろうと必死です。
自分でできる、最大限の注意を払い、また最大限の対策を行うことで、ゼロにはできないかもしれませんが、引っかかる可能性を劇的に低くすることは可能です。
ご自分でできる範囲で対策を行いましょう。

注意喚起amazon,chrome,フィッシング詐欺,詐欺,詐欺対策,迷惑メール